事件經過
2016年12月10日晚,據一本財經報導,近期一個12G的數據包開始在黑市流通,其中包括用戶名、密碼、信箱、QQ號、電話號碼、身份證等多個維度,數據多達數千萬條。而黑市買賣雙方皆稱,這些數據來自京東。
官方回應
2016年12月11日凌晨,京東方面發布聲明,該數據源於2013年Struts 2的安全漏洞問題 。但強調,該數據初步判斷源於2013年的一次安全漏洞。京東表示,當時國內幾乎所有網際網路公司及大量銀行、政府機構都受到影響,導致大量數據泄露,暗指這個問題不只是京東一家出問題。
京東在聲明中表示,在Struts 2的安全問題發生後,京東迅速完成了系統修復,同時針對可能存在信息安全風險的用戶進行了安全升級提示,當時受此影響的絕大部分用戶都對自己的賬號進行了安全升級,但確實仍有極少部分用戶並未及時升級賬號安全,依然存在一定風險。此外,京東還強烈建議用戶高度重視信息安全和隱私保護,在涉及到財產的電商、支付類系統中使用獨特的用戶名和登錄密碼,開啟手機驗證和支付密碼,並將登錄密碼和支付密碼設為高強度的複雜密碼,提高賬戶安全等級。
背景信息
Struts為Apache基金會贊助的一個開源項目,Struts框架廣泛套用於政府、公安、交通、金融行業和運營商的網站建設,作為網站開發的底層模板使用。2013年7月17日,Apache Struts2發布漏洞公告,稱其Struts2 Web套用框架存在一個可以遠程執行任意命令的高危漏洞。